親しみやすいUSBキー,盗難に注意

 本人の記憶に頼るパスワード・システムのほかに,その人しか持っていない所持品で認証する方法もある。例えば,USBキーと呼ばれる製品を使った認証がそれだ(図3[拡大表示])。親指大のUSBキーをパソコンに挿したときだけ,パソコンが利用できるようになる。車や家に対する鍵と同じようなイメージの製品だ。

 導入コストはパソコン1台当たり1万~2万円程度である(表1[拡大表示])。

図3●USBキーで実現できる主なアプリケーション
 
表1●現在販売中の主なUSBキー
センチュリーエレクトロニクスのDataGuardのように店頭で販売されている製品,アナログ・テックのHardKey,ロジカルテックのLOCK STAR-SKのようにオンライン販売されている製品もあるが,システム・インテグレータから納品してもらうか,販売代理店から直接購入するのが一般的である。

ログオン制御とファイルの暗号化が基本

 USBキー製品すべてに共通した機能としては,(1)OSへのログインの制御,(2)ログイン後のパソコンのロック,(3)ファイルの暗号化――の三つがある。これら三つの機能を実現しているのはUSBキーに格納されたユーザー固有の鍵データである。鍵データはUSBキー内の小さな不揮発メモリー領域に持つ。

 (1)のログイン制御は,USBキーが無いとOSにログインできなくする機能である。Windowsにログインするためのユーザー名/パスワードをUSBキーの鍵データで暗号化してUSBキーまたはパソコンのハードディスクに格納する。USBキーを挿したときだけ,暗号が解かれユーザー名とパスワードがWindowsの認証プログラムに渡される。

 (2)のパソコンのロックは,ログイン状態でUSBキーを抜くと,スクリーン・セーバーの画面になる機能である。ログイン制御と仕組みは同じだ。USBキーを抜くとそれをトリガーにスクリーン・セーバーになり,キー入力を一切受け付けなくなる。USBキーを挿すと操作が可能になる。

 (3)のファイルの暗号化は,USBキーを挿しているときだけ,暗号化したファイルを見られるようにする機能だ。USBキー内の鍵データを使って,ファイルの暗号化/復号をする。USBキーが装着されているときは,USBキーに格納された鍵データを使ってファイルを開ける。USBキーが装着されていないと,鍵データがないため,暗号化されたファイルが解けない。

 このように,USBキーはUSBポートへの抜き挿しにより,パソコンの利用を制御でき直感的で使いやすい。パスワードの文字列自体を直接ユーザーが管理する必要がないため,漏洩の危険性は減少する。

 一方で,盗難や紛失に弱い。紛失した場合は,パソコンにログインできなくなる。パソコンとUSBキーを同時に盗まれれば,パソコンの内部を自由に見られる危険性が高い。導入するなら,ユーザーにUSBキーの使い方を徹底し,USBキーをなくした場合にどのように対応するかなどを社内ポリシーで細かく決め,迅速に対応する体制を固めておく必要がある。

メモリーに各種認証情報を格納

 製品によっては,上記の三つ以外の機能を持つものがある。例えば,メールや会員制Webサイトなど,Windowsのログイン以外の任意のアプリケーションのID/パスワードを保存する機能である。アプリケーションがID/パスワードを求めた際,USBキーの中からその情報を取り出して,アプリケーションに渡す。アラジン ジャパンの「eToken」やアナログ・テックの「HardKey/EG Pro」,丸紅ソリューションの「MSOLOCK」などが,この機能を備える。

 この機能を備えていると,アプリケーションごとの異なるパスワードを覚える手間は無くなる。手帳に書いて人に見られる危険性を低減できる。半面,USBキーを盗まれた際に,すべてのパスワードが漏洩してしまう危険性がある。

 使い勝手は製品によって異なる。例えば,丸紅ソリューションのMSOLOCKは,自動ログインしたいアプリケーションの認識ダイアログとID/パスワードを関連付けて登録しておく。

 具体的には,認証ダイアログのウインドウ・タイトルを登録し,そのダイアログが表示された場合に,ユーザー名/パスワードを送り込む。ログインが必要なアプリケーションやシステムの認証ダイアログをすべて登録しておけば,疑似的なシングル・サインオン環境を構築できる。ただし,認証時にウインドウが開かないTelnet/TFTPなどのコマンドライン・アプリケーションには対応できない。

 一方,アナログ・テックのHardKey/EG ProはUSBキーに登録したユーザー名/パスワードを一覧表示し,右クリックでコピー/ペーストできるようになっている。コマンドラインでやり取りするアプリケーションにも対応できるが,操作に手間がかかる。

 このパスワード保存機能は個々のユーザーというより,管理者にとってメリットがあると考える人も多い。「多くのシステム管理者はユーザーにパスワードを管理させること自体が問題だと考えている。ユーザーが利用するすべてのパスワードを管理者がUSBキーに格納し,これをユーザーに渡すことで,パスワード管理からユーザーを解放できる。脆弱なパスワードが使われなくなり,強いパスワードだけのシステムが運用できる」(アナログ・テックIT事業部営業マネージャーの森谷悦朗氏)という考え方である。

暗号チップを備える製品も

 暗号化回路の有無で違いを出す製品もある。センチュリーエレクトロニクスが販売する「DataGuard」は共通鍵暗号方式(カオス暗号)をハードウェアで処理する回路を持つ。暗号用の鍵をUSBキー内部に持ち,データはすべてUSBキー側で暗号化する。このため,暗号鍵がパソコン側にコピーされることはない。この点で,ソフトウェアで暗号化している製品よりセキュアと言える。

 PKI(Public Key Infrastructure)での利用を想定して公開鍵暗号用の回路を持つもある。アラジン ジャパンと丸紅ソリューションが販売している。USBキー内部で公開鍵と秘密鍵のペアの生成と,公開鍵での暗号化/復号を処理できる。こちらもUSBキーの中ですべて管理するため,パソコンのハードディスクやメモリーに秘密鍵データがコピーされることはない。秘密鍵が漏洩する危険性を低くできる。

マザーボード上の暗号チップで
認証を強化するIBMのノートパソコン

 パソコンの内部に公開鍵暗号用のチップを持つことで認証を強化する製品もある。米IBM社が提唱するセキュリティ・チップである。同社が製造/販売するパソコンの一部機種のマザーボード上に搭載されている。

 セキュリティ・チップに搭載される機能は,公開鍵暗号チップを持つUSBキーと同じだ。暗号処理回路と秘密鍵を格納する不揮発メモリー領域を持つ。PKI関連の処理をこのチップで行う。

 USBキーと違うのは,チップ利用時の認証方法である。USBキーの場合,挿すという行為によって制御していたが,セキュリティ・チップはパスワードを利用することで認証する。パスワードは「5gatu 5nichi ha kodomono-hi」(5月5日は子供の日)といった具合に長い文字列を利用できる(一般にパスフレーズと呼ばれる)。覚えやすいフレーズを設定すれば,強固に運用できる。

 セキュリティ・チップに格納した秘密鍵を利用して,ファイルの暗号化,メールなどの各種パスワードの保存といったUSBキー同様の機能も用意されている。ただし,情報はすべてハードディスクに保存する。